站长之家 - 业界 2022-05-15 09:00

白宫牵头与OpenSSF和Linux基金会一道保障开源软件安全

确保开源软件供应链的安全是一件大事。去年,拜登政府发布了一项行政命令,以提高软件供应链的安全性。这是在Colonial Pipeline勒索软件攻击关闭了整个东南部的天然气和石油运输以及SolarWinds软件供应链攻击之后发生的。确保软件安全成为重中之重。

作为回应,开源安全基金会(OpenSSF)和Linux基金会起来迎接这一安全挑战。现在,他们呼吁在两年内提供1.5亿美元的资金,以修复十个主要的开源安全问题。

美国政府将不会为这些变化支付费用。亚马逊、爱立信、Google、英特尔、微软和VMWare已经认捐了3000万美元。更多的厂商已经开始行动,例如亚马逊网络服务(AWS)已经认捐了额外的1000万美元。

图片.png

以下是开源产业致力于实现的十个目标:

安全教育:向所有人提供基线安全软件开发教育和认证。

风险评估:为前10000个(或更多)开放源码软件组件建立一个公共的、供应商中立的、基于客观计量的风险评估仪表板。

数字签名:加快软件发布中数字签名的采用。

内存安全:通过替换非内存安全的语言,消除许多漏洞的根源。

事故响应:建立OpenSSF开源安全事件响应小组,安全专家可以在应对漏洞的关键时刻介入,协助开源项目。

扫描技术:通过先进的安全工具和专家指导,加速维护者和专家对新漏洞的发现。

代码审计:每年一次对多达200个最关键的开放源码软件组件进行第三方代码审查(以及任何必要的修复工作)。

数据共享:协调全行业的数据共享,以改善有助于确定最关键的开放源码软件组件的研究。

软件材料清单(SBOMs):推动改进SBOM工具和培训的采用。

改进供应链:通过更好的供应链安全工具和最佳实践,加强10个最关键的开源软件构建系统、软件包管理器和分销系统。

了解更多:

https://8112310.fs1.hubspotusercontent-na1.net/hubfs/8112310/OpenSSF/White%20House%20OSS%20Mobilization%20Plan.pdf?hsCtaTracking=3b79d59d-e8d3-4c69-a67b-6b87b325313c%7C7a1a8b01-65ae-4bac-b97c-071dac09a2d8

推荐关键词

24小时热搜

查看更多内容

大家正在看